Anlage A – Beschreibung der Verarbeitung

Sapericus kann diese Beschreibung der Verarbeitung von Zeit zu Zeit aktualisieren, um neue Funktionalitäten oder Unterauftragsverarbeiter abzubilden, sofern das Schutzniveau nicht wesentlich abgesenkt wird.

1. Parteien

Verantwortlicher (Auftraggeber): [[Auftraggeber]], [[Auftraggeber Anschrift]]

Auftragsverarbeiter: Sapericus GmbH, Roßhaldeweg 8, 79100 Freiburg, Deutschland. Kontakt: privacy@sapericus.ai.

2. Gegenstand und Zweck der Verarbeitung

Dieser AVV erfasst die weisungsgebundene Verarbeitung von Organisations- und Kontodaten, die im Zusammenhang mit der Bereitstellung der Sapericus-Dienste anfallen. Die Verarbeitung als Auftragsverarbeiter umfasst insbesondere:

• Einladung und Provisionierung von Nutzern
• Benutzerverwaltung und Authentifizierung
• Mandantenzuordnung und Lizenzverwaltung
• Bereitstellung aggregierter, nicht personenbezogener Nutzungsstatistiken für den Auftraggeber

Hinweis: Bestimmte Verarbeitungen führt Sapericus als eigenständiger Verantwortlicher durch. Diese sind nicht Gegenstand dieses AVV. Dazu gehören insbesondere die Verarbeitung der Inhaltsdaten der Nutzer (Coaching-Dialoge), Debugging und Produktsicherheit, Missbrauchserkennung sowie eigene Betriebsprozesse (Abrechnung, Sicherheitsprotokollierung, Telemetrie). Näheres regelt Abschnitt 2.4 des AVV und die Rollenabgrenzung. Die Zusage, dass personenbezogene Daten nicht für KI-Modelltraining verwendet werden, findet sich zentral in Abschnitt 2.3 des AVV.

3. Kategorien betroffener Personen

• Vom Auftraggeber autorisierte Nutzer (insbesondere Mitarbeiter, autorisierte Coaches, Ansprechpartner oder sonstige autorisierte Nutzer des Auftraggebers)
• Administratoren und Ansprechpartner des Auftraggebers
• Sonstige natürliche Personen, deren personenbezogene Daten der Auftraggeber im Rahmen der Nutzung des Dienstes an Sapericus übermittelt

4. Kategorien personenbezogener Daten

• E-Mail-Adresse, Vorname, Nachname
• Organisatorische Zuordnungsdaten (soweit vom Auftraggeber bereitgestellt)
• Authentifizierungs- und Kontodaten
• Vertragsstammdaten und Lizenzdaten

Technische Protokoll- und Nutzungsdaten (einschließlich IP-Adressen) sowie sicherheitsrelevante Metadaten sind nicht Gegenstand dieses AVV, sondern werden von Sapericus in eigener Verantwortlichkeit verarbeitet (vgl. Abschnitt 2.4 des AVV und die Rollenabgrenzung).

5. Besondere Kategorien personenbezogener Daten

Im Rahmen der Auftragsverarbeitung (Organisations- und Kontodaten) werden keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet.

6. Art der Verarbeitung

Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung, Abfrage, Verwendung, Offenlegung durch Übermittlung (an Unterauftragsverarbeiter gemäß Anlage C), Abgleich, Einschränkung, Löschung und Vernichtung.

7. Häufigkeit und Dauer der Verarbeitung

Die Verarbeitung erfolgt fortlaufend für die Dauer der Nutzung der Sapericus-Dienste durch den Auftraggeber. Die Löschung nach Beendigung richtet sich nach Abschnitt 13 des AVV.

8. Übermittlung an Unterauftragsverarbeiter

Die aktuelle Liste der Unterauftragsverarbeiter einschließlich Gegenstand, Art und Dauer der Verarbeitung ist in Anlage C verfügbar.